Bericht 1 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | wuppie64 | Datum | : | 24-11-2007 |
| Aan | : | Allen | MsgID | : | 3643.1 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Is er iemand die weet wat of ( C:\Program Files|Internet Explorer\1.exe) een virus is!!!
Dit zegt mijn virus scanner Eset Smart Security V3.0
Hoe kan ik het e.v.t. verwijderen!!
De online virus scanner van Eset vindt het niet.
Alvast bedankt!!
Met vriendelijke groet,
wuppie64
Bericht 2 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 24-11-2007 |
| Aan | : | wuppie64 | MsgID | : | 3643.2 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Dag 'Wuppie'
Dat programma hoort daar in ieder geval niet te staan, dus de kans dat het een beestje is, is enorm, ook al gezien de naam.
Ik zou het zonder verder nadenken weggooien. Kan dat niet (Windows weigert dat), dan is het programma in gebruik. In dat geval kan je het beste in veilige mode starten en kijken of het daar te verwijderen is. Scan de computer als je in veilige mode bent nog een keer grondig op Virussen met Eset (wat een werkelijk uitstekende virusscanner is).
Krijg je het ook in Veilige modus niet weg, dan heb je een probleem. Laat dat dan maar even weten.
Michel Uphoff (NLcomputer)
Homepage
Bericht 3 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 25-11-2007 |
| Aan | : | wuppie64 | MsgID | : | 3643.3 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Hallo W,
Ik heb eens gegoogled met trefwoord 1.exe en beland op de site van Virusalert.
http://www.virusalert.nl/?show=virus&id=829&name=W32.Beagle.az@mm%20(bagle.bj)
Met betitelt 1.exe als gevaarlijk dus ik zou de verwijder-instructies aldaar eens goed doornemen.
Groeten,
Don
Bericht 4 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | wuppie64 | Datum | : | 26-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3643.4 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Beste Michel,
Ik heb m'n computer door 3 verschillende online scanners laten scannen , maar geen van alle vonden dit virus??!!
Ik kan het niet vinden en ook niet verwijderen (ook niet in de veilge mode)
Stuur hier bij wel een Hijack file oke,
Alvast bedankt voorje reaktie,
Wuppie 64
wim van der velden
wim van der velden
Bericht 5 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 26-11-2007 |
| Aan | : | wuppie64 | MsgID | : | 3643.5 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Dag Wim,
Je bent vergeten de log aan jouw berichtje te hangen. Probeer je het nog een keer?
Je weet zeker dat die 1.exe nog aanwezig is? Hij is toch niet in een eerder stadium al de nek omgedraaid door Eset?Kijk even in die map (staat hij daar?) en draai Eset nog eens. Wat meldt Eset precies als het ding gevonden wordt?
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 26/11/2007 17:01 CET door
Michel Uphoff (Sysop)
Bericht 6 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | wuppie64 | Datum | : | 27-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3643.6 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Hoi Michel,
Bedankt voor je snelle reaktie.
Ik kan 1.exe zelf niet vinden in de map die Eset zegt!!
Eset zegt het volgende!!!
C:\Program Files\Internet Explorer\1.exe - probably a variant of Win32/TrojanDownloader.Delf.BMZ trojan - error while
Staat in de map Quarantine van Eset
Als ik hem verwijderd en opnieuw scan vindt Eset 1.exe opnieuw.
http://www.wikifortio.com/621302/Eset nod 32.JPG
http://www.wikifortio.com/255327/hijackthis.loggroetjes,
wim van der velden
Bericht 7 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 28-11-2007 |
| Aan | : | wuppie64 | MsgID | : | 3643.7 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Hoi Wim,
>> Ik kan 1.exe zelf niet vinden in de map die Eset zegt <<Dat is niet zo best. Het lijkt er op dat je een rootkit aan boord hebt, waardoor die 1.exe aan het oog onttrokken wordt.
Als dat in Veilige Mode ook het geval is (en dat vermoed ik) dan is er een tamelijk dik probleem. want dat ding verwijderen lukt dan niet zonder trucendoos.
Attached tref je zo'n wondertooltje aan: KillBox.exe, dat speciaal bedoeld is om beestjes te elinimneren als viendelijk vragen niet meer helpt.
Sla het tooltje op een map, en start het. Vul het hele pad naar het beestje in, dus ierts in de geest van c:\program files\internet explorer\1.exe (even checken of dit klopt!). Plaats een bolltje in "Delete on Reboot", en klik vervolgens op het witte kruis in de rode cirkel. Bij herstarten moet KillBox nu dat ding slopen, maar... dot van een kans dat het ding weer terug komt, en dan moeten we dieper graven.
Wat betreft jouw HjT log. Vink de volgende regels aan en kies voor fix:
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\WPF\Free Download Manager\iefdm2.dll
O8 - Extra context menu item: Download alles met Free Download Manager. - Download Manager\dlall.htm
O8 - Extra context menu item: Download met Free Download Manager. - Download Manager\dllink.htm
O8 - Extra context menu item: Download selectie met Free Download Manager. - Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - Download Manager\dlfvideo.htm
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\WPF\Free Download Manager\FUM\fumiebtn.dll
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)Die downloadmanager lijkt mij niet helemaal fris, en dit soort programma's zijn i.h.a. vrij onnuttig onder XP en Vista. Verder zie ik een hele polonaise aan 'beveiligings' software. Ik zou alles verwijderen, en alleen Eset smart security (of Nod32) gebruiken. In ieder geval niet meerdere anti malware oplossingen tegelijk, omdat dat weinig extra veiligheid, veel vertraging en mogelijk flinke problemen oplevert.
Laat maar even weten of je het ding de tanden uit hebt kunnen trekken met KillBox, en zo nee, dan gaat we op rootkit jacht. Maak, nadat je jouw eliminatieronde hebt gedaan, en een frisse herstart gegeven hebt, eens een HjT log in normale mode. Kunnen we zien of er nog meer ongerief ronddartelt.
Michel Uphoff (NLcomputer)
Homepage | Bijlagen : 
KillBox.exe
72KB |
Bericht 8 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | wuppie64 | Datum | : | 28-11-2007 | | Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3643.8 | | Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Hallo Michel, Alles uitgevoerd, 1.exe is niet meer gevonden door Eset Aantal keren gescand. Hopelijk blijft het zo. Harstikke bedankt voor je duidelijke uitleg en moeite..... Hieronder het HjT logje. (kon niet uploden) Als er nog iets is hoor ik je graag. Groetjes, Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:33:06, on 28-11-2007 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16546) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Windows\system32\wbem\unsecapp.exe C:\WPF\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe -- End of file - 2859 bytes |
Bericht 9 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 29-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3643.9 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Hoi Michel,
>> elinimneren als viendelijk vragen <<
Tuurlijk.. Morgen weer Nederlands dan maar?
Michel Uphoff (NLcomputer)
Homepage
Bericht 10 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 29-11-2007 |
| Aan | : | wuppie64 | MsgID | : | 3643.10 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Hoi Wim,
Mooi. Beestje is geplet.
Wat betreft jouw log. Beestjes staan er niet meer in, maar mogelijk wel wat overbodigheden. Ik zie wat Nero tooltjes gestart, maar ook nog (een restje van) Norton Internet Security. Het zou mij niets verbazen als je dat wél gedeïnstalleerd hebt, en er gewoon een stuk is achtergebleven. Kan je dan wegvinken in HjT.
Michel Uphoff (NLcomputer)
Homepage
Bericht 11 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | wuppie64 | Datum | : | 29-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3643.11 |
| Onderwerp | : | 1.exe | Forum | : | ws-nlcomputer |
Hoi Michel,
Alles oke nou,nogmaals bedankt!! ben er heel blij mee.
nog effe een HjT.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:16, on 29-11-2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WPF\Winamp\winamp.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\WPF\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
--
End of file - 2557 bytes
Groetjes,wim van der velden
